Schlagwortarchiv für: VDA-ISA

Im vorherigen Beitrag wurde der Zusammenhang zwischen den drei wesentlichen ISMS-Elementen Asset Management, Klassifizierung und Risikomanagement aufgezeigt, wobei das Risikomanagement nur kurz angerissen wurde. Wie an dieser Stelle erwähnt wurde, hat der VDA auch zum Risikomanagement ein Whitepaper mit einigen Handreichungen und Vorschlägen herausgegeben.

Wie bei den meisten Methodiken zum Risikomanagement werden auch beim VDA zur Berechnung eines Risikowertes die Eintrittswahrscheinlichkeit und die Schadenshöhe des jeweiligen Risikos miteinander multipliziert. Der VDA unterscheidet hier bei der Schadenshöhe nicht weiter nach spezielleren Schadensarten, wie z.B. Imageschäden oder Personenschäden. Vielmehr orientiert sich der VDA an der Klassifizierung des betroffenen Informationswertes: bei einem Schutzbedarf „sehr hoch“ wird auch von einem „sehr hohen“ Schaden ausgegangen. Ergänzt wird in Anlehnung an die Methodik des Bundesamtes für Sicherheit in der Informationstechnik (BSI) noch die Schutzklasse „niedrig“, sodass sich insgesamt vier mögliche Schadenshöhen ergeben.

Priorisierung und Behandlungsoptionen

Sinn eines Risikomanagements ist es, die betrachteten Risiken sortieren zu können. Die „wichtigsten“ Risiken sollen natürlich zuerst behandelt werden – das sind solche, bei denen das Produkt aus Eintrittswahrscheinlichkeit und Schadenshöhe am größten ist, die also häufig eintreten und bei jedem Eintreten einen sehr hohen Schaden verursachen. Andere Risiken, bei denen das Produkt kleiner ist (die also entweder seltener eintreten oder aber geringere Schäden hervorrufen), werden natürlich ebenfalls betrachtet. Die Übersicht über alle Risiken, die betrachtet wurden, kann nach dem Ergebnis der Risikoberechnung sortiert werden und liefert so gleich die Reihenfolge der Behandlung der einzelnen Risiken.

Rein intuitiv nehmen die meisten Menschen an, dass es bei der Behandlung eines Risikos zwingend um die Verminderung des Risikos gehen muss, sprich: dass entweder Eintrittswahrscheinlichkeit oder Schadenshöhe verringert werden müssen. Die meisten Risikomethodiken sehen jedoch neben der Verminderung eines Risikos noch weitere sogenannte Behandlungsoptionen vor: Risikovermeidung, Risikotransfer und Risikoakzeptanz. Die Bezeichnungen für diese vier Behandlungsoptionen variieren in den verschiedenen Methodiken zum Risikomanagement zumeist, die zugrundeliegende Idee ist aber ähnlich.

Natürlich kann und muss die genutzte Risikomethodik in einem ISMS an das jeweilige Unternehmen angepasst werden. Der VDA ISA Katalog, der für eine Prüfung nach TISAX® genutzt wird, stellt nur allgemeine Anforderungen an ein Risikomanagement. Allerdings bietet es sich an, bei einer angestrebten Konformität die Handreichungen des VDA zum Risikomanagement zumindest in Betracht zu ziehen.

Neben den großen Themen Asset Management, Risikomanagement und Klassifizierungsschema finden sich noch viele weitere Elemente eines ISMS im VDA ISA Katalog. Einige dieser Inhalte werden wir im folgenden Artikel betrachten – oder in einem unserer Seminare.

Was Sie noch interessieren könnte…

Seminar:

TISAX® – Informationssicherheit in der Automobilindustrie

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” hat diesem Thema auch eine Folge gewidmet. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

In der Artikelreihe über TISAX® als den Standard für Informationssicherheit in der Automobilindustrie soll es auch in diesem Artikel um die Inhalte gehen, die im Zuge einer Überprüfung untersucht werden. Die hierbei genutzte Liste, der VDA ISA Katalog, wurde ja bereits im vorherigen Artikel erwähnt.

Im vorherigen Blogbeitrag wurden bereits zwei wesentliche Elemente bei der Umsetzung von Informationssicherheit erwähnt, Asset Management und Klassifizierung. Diese beiden Elemente stehen in einem engen Zusammenhang zu einem weiteren Baustein, dem Risikomanagement. Dabei werden verschiedene Umstände – „Risikoszenarien“ – aufgenommen und untersucht, um herauszufinden, welche dieser Szenarien besonders schädliche Auswirkungen auf das eigene Unternehmen haben. Dies ist der Fall, wenn das entsprechende Szenario entweder besonders häufig eintritt, oder aber bei jedem Eintreten besonders hohe Schäden hervorruft. Im schlimmsten Fall trifft beides zu – besonders hohe Schäden und ein häufiges Eintreten …

Der Zusammenhang zum Assetmanagement entsteht dadurch, dass ein tatsächlich eintretendes Risikoszenario ein oder mehrere Assets zumindest beeinträchtigt, vielleicht sogar beschädigt oder zerstört. Daher wird auf die Assetliste (d.h. die Übersicht mit allen relevanten Informationswerten) zurückgegriffen, um bei der Risikobeurteilung zu erkennen, welche Assets von dem untersuchten Risikoszenario bedroht werden. Anders ausgedrückt: um passende Schutzmaßnahmen zu finden, muss man vorher wissen, was man schützen will.

Auch zwischen dem Klassifizierungsschema und dem Risikomanagement kann man eine Verbindung ziehen. Hierzu ein Beispiel:

Wie im vorherigen Artikel beschrieben, enthält das Klassifizierungsschema Vorgaben, wie mit entsprechend klassifizierten Informationen umzugehen ist. Die Klassifizierung als „vertraulich“ – und damit verbunden natürlich auch die Markierung als „vertraulich“ – könnte z.B. mit dem Verbot des Mitnehmens in das Home Office verbunden sein. Aus der Klassifizierung als „vertraulich“ folgt also das Verbot des Mitnehmens in das Home Office, somit sinkt die Wahrscheinlichkeit, dass das Risikoszenario „Offenlegung vertraulicher Informationen gegenüber Familienmitgliedern“ tatsächlich eintritt. Das Risiko wurde verringert.

Zusammenwirken einzelner Elemente eines ISMS

Dieses Beispiel zeigt, wie die einzelnen Bestandteile und Elemente eines Informationssicherheits-Managementsystems (ISMS) oftmals zusammenwirken. Dabei spielt es keine Rolle, ob als Standard TISAX®, die ISO 27001, der BSI IT-Grundschutz oder eine andere Methodik genutzt wird. Es zeigt aber auch, dass in den meisten Fällen nicht einfach einzelne Elemente des ISMS weggelassen werden können.

Der VDA hat, wie auch für das Thema Klassifizierung, ein Whitepaper zum Risikomanagement herausgegeben, welches Vorschläge und Handreichungen zur Ausgestaltung des eigenen Risikomanagements enthält. Aber auch mit diesem Whitepaper ist eine Anpassung des Risikomanagements an die Gegebenheiten im eigenen Unternehmen immer noch notwendig.

Asset Management, Risikomanagement und Klassifizierungsschema sind jedoch bei weitem nicht die einzigen Elemente eines ISMS nach TISAX®. Einige weitere Inhalte werden wir im folgenden Artikel betrachten – oder in einem unserer Seminare.

Was Sie noch interessieren könnte…

Seminar: 

“TISAX® – Informationssicherheit in der Automobilindustrie”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” hat diesem Thema auch eine Folge gewidmet. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

In der Artikelreihe über TISAX® als den Standard für Informationssicherheit in der Automobilindustrie soll es heute um die Inhalte gehen, die im Zuge einer Überprüfung untersucht werden. Die hierbei genutzte Liste, der VDA ISA Katalog, wurde ja im vorherigen Artikel kurz erwähnt.

Dieser Katalog erweist sich als eine etwas größere Excel-Tabelle, in der sich neben einigen Hinweisen zum Ablauf Fragen zu 41 Themengebieten der Informationssicherheit finden, die – natürlich – beantwortet werden wollen. Dabei müssen zunächst organisatorische Festlegungen getroffen werden. So soll z.B. festgelegt werden, wer innerhalb einer Organisation für das Thema Informationssicherheit verantwortlich ist, wie Anforderungen der Informationssicherheit auch in Projekten berücksichtigt werden oder wie die Zusammenarbeit zwischen der eigenen IT und unternehmensfremden IT-Dienstleistern geregelt sein soll. Überhaupt geht es bei einem systematischen Aufbau immer – nicht nur bei TISAX® – darum, viele Arbeitsabläufe in Unternehmen in Bezug auf Sicherheitsanforderungen zu betrachten und vielleicht auch erstmalig per Vorgabe unternehmensweit zu regeln.

Grundlagen eines ISMS

Solche Prozesse sind z.B. das Risikomanagement und das Assetmanagement. Unter dem Begriff „Assetmanagement“ versteht man hier die Inventarisierung, Verwaltung, Klassifizierung und Nutzung von allen Arten von Informationswerten. Dazu zählen nicht nur einzelne Dateien oder Anwendungen, der Begriff „Informationswert“ wird hier sehr weit gefasst: auch Prototypen, Zeichnungen auf Papier, Netzwerke, Patente und geistiges Eigentum, Designs werden als Informationswerte betrachtet, aber auch Prozesse, Vertragsbeziehungen oder Menschen in Schlüsselpositionen. Kurzum – alle Dinge, die Informationen enthalten oder für den Ablauf von Geschäftsprozessen benötigt werden, werden beim Assetmanagement betrachtet. Der Grund ist recht einfach: Ich muss wissen, welche Dinge vorhanden sind, damit ich sie angemessen schützen kann.

Assetmanagement und Klassifizierung

Eng verbunden mit dem Assetmanagement ist die Klassifizierung. Schließlich möchte man ja nicht nur wissen, welche Dinge vorhanden sind, sondern auch, wie mit ihnen umgegangen werden soll. Eine Klassifizierung liefert genau solche Handhabungsvorgaben. Hier macht der VDA den Vorschlag, ein vierstufiges Klassifizierungsschema mit den Stufen „öffentlich“, „intern“, „vertraulich“ und „streng vertraulich“ zu nutzen. Zu jeder der vier Stufen werden dann in abgestufter Form Handhabungsvorgaben gemacht. So könnte man z.B. festlegen, dass „öffentliche“ Informationen innerhalb und außerhalb des Unternehmens weitergegeben werden dürfen. „Interne“ Informationen dagegen dürfen nicht nach Außen gegeben werden, innerhalb des Unternehmens jedoch frei genutzt werden. Zugang zu „vertraulichen“ Informationen erhält man nur mit einer Freigabe des Werteverantwortlichen. Ähnlich werden auch andere Aktivitäten wie Drucken, Versenden per Mail oder die Nutzung im Homeoffice abgestuft geregelt, immer passend zum Schutzbedarf des jeweiligen Informationswertes.

Mit TISAX® werden grundlegende Aktivitäten in einem Informationssicherheitsmanagementsystem nicht neu erfunden, sondern – je nach Bedeutung innerhalb der Automobilindustrie – systematisch abgefragt. Einige weitere Inhalte werden wir im folgenden Artikel betrachten – oder in einem unserer Seminare.

Was Sie noch interessieren könnte…

Seminar:

“TISAX® – Informationssicherheit in der Automobilindustrie”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” hat diesem Thema auch eine Folge gewidmet. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Wenn man der Redewendung folgt, Daten seien das Öl des Informationszeitalters, so liegt es nahe, diese Informationen auch angemessen zu schützen. In der Informationssicherheit bedeutet dies den Schutz von Verfügbarkeit, Vertraulichkeit und Integrität der Informationen, ganz gleich, ob es die firmeneigenen Informationen sind, die für die internen Abläufe benötigt werden, oder ob es sich um unternehmensfremde Informationen handelt, die lediglich zur Nutzung überlassen worden sind.

Oftmals ist es notwendig, diesen hoffentlich gut umgesetzten Schutz von Informationen auch objektiv nachzuweisen oder zumindest nachvollziehbar zu machen. Hierzu bedarf es eines gemeinsamen Verständnisses darüber, welche Punkte durch welche unabhängige Instanz geprüft werden sollen. Die in Deutschland am meisten genutzten Standards für die Prüfung eines Informationssicherheitssystems (ISMS) sind die nationale Norm „IT-Grundschutz“ des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sowie in den meisten Fällen die internationale Norm ISO 27001. Diese beiden Standards sind vor allem dadurch gekennzeichnet, dass sie sich auf alle Branchen und auf alle Arten von Unternehmen oder Organisationen anwenden lassen.

Branchenstandard TISAX®

Neben diesen beiden universellen Standards gibt es einige weitere, die jeweils eigene Schwerpunkte setzen. Einige von ihnen sind besser auf die Bedürfnisse kleinerer Unternehmen angepasst, wieder andere richten sich an bestimmte Branchen. Innerhalb der Automobilindustrie hat sich in den vergangenen Jahren der „Information Security Assessment“ (ISA) genannte Katalog mit Fragen der Informationssicherheit etabliert, herausgegeben vom Verband der Automobilindustrie (VDA). Auch für den Austausch der Prüfergebnisse innerhalb der Automobilindustrie und ihrer Zulieferer gibt es ein gemeinsames Verfahren: TISAX® („Trusted Information Security Assessment Exchange“).

Dieses einheitliche Vorgehen hat durchaus Vorteile für alle beteiligten Unternehmen, sowohl für die Hersteller selber als auch für ihre Zulieferer. TISAX® hat sich als Standard innerhalb der Branche etabliert, d.h. es wird für die Aufnahme in den Lieferantenstamm meist nur diese eine Prüfung gefordert und somit vermieden, dass für die verschiedenen Herstellern und Kunden jeweils verschiedene Prüfungen nach unterschiedlichen Kriterien für den Nachweis des geforderten Niveaus der Informationssicherheit erbracht werden müssen. Diese erhöhte Nachfrage nach einem „TISAX-Label“ ist in den letzten Jahren sehr deutlich spürbar geworden, nicht nur bei den direkten Zulieferern der Automobilindustrie, sondern entlang der gesamten Lieferkette. Man kann durchaus zu dem Schluss kommen, dass ohne TISAX® in der Automobilbranche mittelfristig kaum noch etwas geht …

Unterschiede und Schwerpunkte

Selbstverständlich wird Informationssicherheit in den einzelnen Standards nicht völlig neu erfunden, vielmehr werden jeweils die Schwerpunkte und Herangehensweisen unterschiedlich betrachtet. Daher orientiert sich die TISAX®-Prüfung an der ISO 27001, hier insbesondere am Anhang A. Zusätzlich wurden in den VDA-ISA Katalog, nach dem die Prüfung erfolgt, einige für die Automobil­industrie besonders relevante Themen zusätzlich mit aufgenommen, die in der Automobilindustrie eine besondere Rolle spielen. Dazu gehören der Schutz von Prototypen, der Umgang mit Test- und Erprobungsfahrzeugen, Vorgaben für Ausstellungen und Werbeaufnahmen sowie der Datenschutz. Diese zusätzlichen Themengebiete werden lediglich bei Bedarf geprüft, d.h. wenn sie das Geschäftsfeld des Zulieferers betreffen. Nur das Hauptthema „Informationssicherheit“ ist Bestandteil einer jeden TISAX®-Prüfung.

Natürlich kann ein so komplexes Thema wie der Aufbau oder die Prüfung eines ISMS nicht in einigen wenigen Sätzen vollständig vermittelt werden. Daher werden wir in weiteren Artikeln die Aspekte eines ISMS nach VDA-ISA oder der TISAX®-Prüfung beleuchten, und haben TISAX® auch mit in unser Seminarprogramm aufgenommen.

TISAX® – INFORMATIONSSICHERHEIT IN DER AUTOMOBILINDUSTRIE

Ohne TISAX® geht kaum noch etwas …

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Das könnte Sie auch interessieren:

Wir haben diesem Thema auch einen Podcast gewidmet. Sie finden diesen auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Schlagwortarchiv für: VDA-ISA